Collecter les journaux NetApp SAN

Compatible avec :

Ce document explique comment ingérer des journaux NetApp SAN dans Google Security Operations à l'aide d'un agent Bindplane. L'analyseur extrait les champs des journaux NetApp SAN à l'aide de modèles Grok, puis mappe ces champs extraits à l'UDM Google SecOps, en enrichissant les données avec des informations statiques sur le fournisseur et le produit pour une analyse de sécurité standardisée. Si l'entrée de journal ne correspond pas au modèle attendu, elle est supprimée, car elle n'a aucune valeur en termes de sécurité.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié au SAN NetApp.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration :

    1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: NETAPP_SAN
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer Syslon dans NetApp SAN

  1. Connectez-vous à l'interface utilisateur Web NetApp SAN.
  2. Accédez à Configuration > Monitoring > Serveur d'audit et syslog.
  3. Cliquez sur Configurer un serveur syslog externe ou Modifier un serveur syslog externe.
  4. Fournissez les informations de configuration suivantes :
    • Hôte : saisissez l'adresse IP de Bindplane.
    • Port : saisissez le numéro de port Bindplane (par exemple, 514 pour UDP).
    • Protocole : sélectionnez UDP.
  5. Cliquez sur Continuer.
  6. Activez et sélectionnez le contenu Syslog suivant :
    • Envoyer les journaux d'audit : activez cette option et définissez Severity:Informational(6), facility:local7.
    • Envoyer les événements de sécurité : activez cette option et définissez Severity:Passthrough et facility:Passthrough.
    • Envoyer les journaux d'application : laissez cette option désactivée.
  7. Cliquez sur Continuer.
  8. Envoyez un message de test de journal.
  9. Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
Date/Heure metadata.event_timestamp.seconds Extrait du message de journal à l'aide du modèle grok %{SYSLOGTIMESTAMP:datetime} et converti en secondes epoch.
décroiss. metadata.description Extrait du message de journal à l'aide du modèle Grok %{GREEDYDATA:desc}.
ip principal.ip Extrait du message de journal à l'aide du modèle Grok %{IP:ip}.
log_level Utilisé pour déterminer la valeur de security_result.severity.
port principal.port Extrait du message de journal à l'aide du modèle Grok %{INT:port} et converti en entier.
request security_result.summary Extrait du message de journal à l'aide du modèle Grok %{DATA:request}.
userid principal.user.userid Extrait du message de journal à l'aide du modèle Grok %{WORD:userid}.
N/A metadata.event_type Définie sur STATUS_UPDATE par l'analyseur.
N/A metadata.log_type Renseigné à partir des métadonnées du journal entrant.
N/A metadata.product_name Définie sur Storage Area Network par l'analyseur.
N/A metadata.vendor_name Définie sur NetApp par l'analyseur.
N/A security_result.severity Définie sur ERROR, si log_level est Error.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.